Alle blogindlæg

EDPBs retningslinjer: cookies, samtykke og compliance

Persondataforordningen (GDPR) og ePrivacy Direktivet (ePR) påvirker hvordan din hjemmeside må bruge cookies til at spore dine besøgende fra EU.

Udgivet 4. maj 2022.

Det Europæiske Databeskyttelsesråd (EDPB) har vedtaget retningslinjer for GDPR-compliance: Retningslinjerne gør det klart både hvad der ses som gyldigt samtykke på en hjemmeside, samt at brugen af ”cookie walls” er ulovlig. 

EDPB er den højeste tilsynsmyndighed angående GDPR i EU, og deres retningslinjer udgør basen for håndhævelsen af nationale databeskyttelsesmyndigheder (DPA) i hvert EU-medlemsland. 

I denne artikel vil vi forklare de vigtigste ting at vide omkring Databeskyttelsrådets retningslinjer, så du kan sikre, at din hjemmeside er sikker og compliant under brugernes besøg.

Bliv compliant med Cookiebot consent management platform (CMP)

Kort opsummering 

EDPBs retningslinjer, kort fortalt 

Den 4. maj 2020 vedtog Databeskyttelsesrådet (EDPB) nogle retningslinjer i forhold til GDPR-compliance, der tydeliggør, hvad der ses som gyldigt samtykke for behandling af persondata i EU, og bekræfter, at ”cookie walls” er en ulovlig måde at indsamle samtykke på.

På grund af disse retningslinjer er det nu slået fast, hvordan GDPR skal anvendes. Flere nationale databeskyttelsesmyndigheder (DPA’er) benytter allerede retningslinjerne, og har blandt andet taget dem i brug, da der skulle dømmes i sagen om CJEU Planet49. Da EDPBs retningslinjer dikterer, hvordan hver enkelt medlemsstats DPA skal håndhæve GDPR, er det vigtigt at forholde sig til dem.

Læs EDPBs retningslinjer 05/2020 om gyldigt samtykke her. 

Test om din hjemmeside er compliant med EDPBs retningslinjer og GDPR, helt gratis. 

Prøv Cookiebot CMP gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside 

EDPBs retningslinjer for gyldigt samtykke

For at et samtykke er helt gyldigt, ifølge GDPR, skal det være: 

  • Frit givet
  • Specifikt 
  • Informeret
  • Utvetydigt 

EDPB gør det klart i deres retningslinjer at ”en utvetydig viljestilkendegivelse fra brugeren” skal gives som en klar og bekræftende handling.

Scrolling, browsning eller lignende aktiviteter på en hjemmeside (også kendt som indirekte samtykke) anses ikke som gyldigt samtykke ifølge GDPR.

Med EDPB-retningslinjerne betyder dette, at dit cookiebanner ikke må skrive, at fortsat scrolling eller browsing på domænet ses som samtykke til, at brugernes persondata bliver behandlet af cookies, da dette ikke er en gyldig form for samtykke i GDPR.

I stedet skal din hjemmesides cookiebanner være interaktivt, og hjemmesiden skal tilbageholde aktiveringen af alle cookies, der samler persondata, indtil brugeren har valgt hvilke cookiekategorier, de vil have aktiveret (kendt som forudgående samtykke). 

EDPB-retningslinjerne gør det også tydeligt, at brugen af forud-afkrydsede tilvalgsbokse ikke er GDPR-compliant, da det heller ikke lever op til kravet om ”en klar og bekræftende handling”.

Her komplementerer EDPB-retningslinjerne den juridiske præcedens fra Den Europæiske Unions Domstol (CJEU) i tilfældet med Planet49-sagen fra oktober 2019.

EU-domstolen afgjorde, at forud-afkrydsede felter på cookiebannere ikke er tilladte, da de ikke lever op til kravet om et frit givet samtykke som en bekræftende handling.  

Lær mere om CJEU og Planet49-sagen

Prøv Cookiebot CMP by Usercentrics gratis i dag… eller for evigt, hvis du har en mindre hjemmeside

EDPB guidelines clarify GDPR compliance in EU.
EDPB-retningslinjerne gør det klart, hvordan GDPR skal fortolkes og håndhæves i EU.

EDPBs retningslinjer gør det tydeligt, at en ”cookie wall” er en non-compliant måde for en hjemmeside at indhente samtykke.

Cookie walls fungerer på den måde, at de gør adgangen til hjemmesider betinget, således at brugerne skal give hjemmesiden deres samtykke til at behandle deres persondata for at kunne bruge siden. Det strider klart imod EDPB-retningslinjernes regler for et gyldigt samtykke.

Eftersom en cookie wall opererer ved at tvinge samtykket fra brugerne til at gemme cookies eller at få adgang til allerede gemte cookies i bytte med adgang til sidens funktioner og tjenester, lever cookie walls’ måde at indsamle samtykke på ikke op til GDPR-kravet om at et gyldigt samtykke er frit givet baseret på et oprigtigt valg

Vil du vide mere om cookie walls?

Hvad betyder EDPBs retningslinjer for min hjemmeside?  

EDPB-retningslinjerne cementerer det, som hele tiden har været hensigten med GDPR: at bemyndige brugerne med ægte, gennemtvingelige rettigheder over deres egne data og privatliv. 

EDPB tydeliggør i deres retningslinjer om samtykke, at ethvert forsøg på at undgå at give brugerne reel magt over deres egne personoplysninger (ved for eksempel at tvinge samtykket eller at være afhængig af dårlig information om indirekte samtykke) ikke vil blive tolereret.  

Med andre ord, din hjemmeside har ikke lov til at aktivere nogen form for cookies, der behandler persondata, uden at brugeren har givet deres klare og bekræftende samtykke til det.  

For din hjemmeside, betyder det –

  • Ingen forud-afkrydsede felter på dit cookiebanner
  • Scrolling og fortsat browsing er ikke en gyldig form for samtykke
  • Cookie walls er en non-compliant måde at indhente samtykke på

Hvis din hjemmeside bruger en samtykkeløsning, der aktiverer cookies på basis af fortsat scrolling, klikken eller browsing på din side (dvs. enhver anden aktivitet end en direkte, eksplicit interaktion med samtykkebanneret), bruger forud-afkrydsede felter eller cookie walls, skal du ændre det.  

EDPB-retningslinjerne danner grundlaget for alle håndhævelser af GDPR på det nationale niveau af de respektive databeskyttelsesmyndigheder i hver EU-medlemsstat. Så hvis din hjemmeside drives fra et EU-land eller hvis din hjemmeside behandler persondata fra individer fra et EU-land, skal du være i compliance med EDPBs retningslinjer for GDPR-compliance

EDPBs retningslinjer og GDPR-compliance test

Er du ikke sikker på, om din hjemmeside lever op til GDPRs krav til lovlig brug af cookies og sporingsenheder? Er du i tvivl om dit domæne møder EDPBs retningslinjer for gyldigt samtykke? 

Test om din hjemmeside er i compliance med EDPBs retningslinjer og GDPRs krav ved at bruge Cookiebot CMP’s gratis compliance-test.

Cookiebot CMP by Usercentrics laver en gratis skanning af din hjemmeside og finder alle aktive cookies og sporingsenheder på dit domæne.

Det kan ske, at du finder ud af, at din hjemmeside bruger mange flere cookies, end du havde regnet med, eftersom –  

72% af cookies sættes hemmeligt af andre tredjepartsporingsenheder, hvilket gør dem næsten umulige at finde uden en dybdegående skanningsteknologi..

18% af cookies loades i op til otte andre cookies.  

50% af de skjulte cookies vil forandre sig mellem besøg, så brugerne risikerer at deres persondata bliver hentet af forskellige tredjeparter på din hjemmeside, hver gang de besøger din hjemmeside.

Kilde: Beyond the Front Page, en undersøgelse af hjemmesiders cookies fra 2020.

Test din hjemmesides GDPR- og EDPB-compliance gratis i dag

Lær mere om GDPR og cookiesamtykke 

Besøg EDPBs hjemmeside 

Prøv Cookiebot CMP gratis i dag 

Cookiebot CMP by Usercentrics og EDPB-retningslinjerne 

Cookiebot CMP by Usercentricser den førende consent mangagement platform i verden og gør din hjemmeside compliant med alle verdens databeksyttelseslove.

Cookiebot CMPs løsning er plug-and-play. Det betyder, at det ikke er nødvendigt med manuel implementering eller on-site integration med dit domæne. 

For at beskytte dine brugeres privatliv fra tredjeparters datamisbrug kan du let installere Cookiebot CMP direkte fra skyen.

Cookiebot CMP by Usercentrics laver dybdegående skanninger af hele din hjemmeside for at finde alle aktive cookies og sporingsenheder – selv dem, der gemmer sig som trojanske heste – og blokerer automatisk alt, indtil dine brugere har givet deres forudgående samtykke, i komplet compliance med GDPR. 

Cookiebot CMPs samtykkeløsning er i fuld compliance med EDPBs retningslinjer for gyldigt samtykke:

  • Auto-blokering af alle cookies og sporingsenheder indtil forudgående samtykke er opnået 
  • Et granuleret, bekræftende valg af samtykke til fire cookiekategorier 
  • En komplet cookie-deklaration med information om udbyderen, formålet, varigheden og typen af hver cookie 
  • En nem måde for brugerne at ændre deres samtykke eller trække det tilbage 
  • Sikker lagring af brugernes samtykke 
  • Automatisk fornyelse af samtykket 
Interaktivt cookiebanner fra Cookiebot CMP med granuleret samtykke i compliance med EDPBs retningslinjer om GDPR. 

Prøv Cookiebot CMP by Usercentrics gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside. 

EDPB-retningslinjerne i detaljer 

EDPBs retningslinjer 05/2020 om gyldigt samtykke er et detaljeret 36-siders dokument, der blev vedtaget d. 4. maj 2020. 

I resten af denne artikel vil vi se nærmere på hver af de vigtigste dele af EDPB-retningslinjerne, der gør det klart hvad der ses som gyldigt samtykke i GDPR: 

  • Frit givet samtykke
  • Betingelser for samtykke 
  • Granuleret samtykke 
  • Specifikt samtykke
  • Informeret samtykke 
  • Tilbagetrækning af samtykke 
  • Yderligere betingelser for at indhente gyldigt samtykke 
  • De registreredes rettigheder  

Læs det fulde dokument over EDPBs retningslinjer her. 

Hvem er EDPB?  

Det Europæiske Databeskyttelsesråd (EDPB) er den ledende databeskyttelsesmyndighed i EU og er ansvarlige for den gennemgående håndhævelse og anvendelse af Databeskyttelsesforordningen (GDPR) i EU.

EDPB blev dannet, da GDPR blev vedtaget som lov i 2018, og består af repræsentanter fra hver databeskyttelsesmyndighed (DPA) i EU-medlemslandene.

EDPBs job består af at vedtage generelle retningslinjer og tage beslutninger, der gør det tydeligt, hvordan GDPR skal fortolkes af hjemmesider, virksomheder og organisationer, for at disse er i fuld compliance med loven.

EDPBs retningslinjer og beslutninger er grundstenen i håndhævelsen af GDPR i EU-medlemslandene, hvor hver enkelt DPA er ansvarlig for GDPRs anvendelse.

Frit givet samtykke

Når brugernes samtykke til aktivering af cookies og behandling af persondata skal indsamles, skal din hjemmeside sørge for at samtykket er frit givet – en af byggestenene for gyldigt samtykke i GDPR. 

Hvis en bruger ikke har et reelt valg, føler sig presset til at give sit samtykke eller kommer til at lide negative konsekvenser, hvis de ikke giver deres samtykke (såsom lavere funktionsevne på siden eller nægtes adgang), er samtykket ikke gyldigt

Din hjemmeside må ikke sammensætte samtykke, dvs. at samtykket vises som en ikke-forhandlingsbar del af sidens betingelser. Hvis det er tilfældet, anses samtykket ikke som værende frit givet.  

På samme måde anses samtykket ikke som værende gyldigt, hvis brugeren ikke kan sige nej til cookies eller trække deres samtykke tilbage uden konsekvenser (såsom lavere funktionsdygtighed eller nægtes adgang til siden). 

Betingelse af samtykke 

Som det kort nævnes ovenfor, er det ikke compliant at sætte samtykket sammen med betingelserne for hjemmesiden, hvilket også gøres klart af EDPB. 

At gøre samtykket betinget, for eksempel gennem accept af sidens vilkår og betingelser eller gennem tjenestens ydelse, selvom behandlingen af persondata gennem cookies og sporingsenheder ikke er nødvendig, anses for at være en ugyldig form for samtykke.  

GDPR har seks juridiske baser for behandling af persondata. Den første er med samtykke fra brugeren og den anden er til opfyldelsen af en kontrakt.  

EDPBs retningslinjer gør det klart, at disse to juridiske baser ikke kan blive fusioneret eller ses bort fra, dvs. hvis din hjemmeside er afhængig af brugernes samtykke til cookies og sporingsenheder, kan deres samtykke ikke være en betingelse for at se eller bruge en ydelse, der ikke har brug for persondata for at fungere (se GDPR artikel 7.4, for mere information om dette).

Denne del af EDPB-retningslinjerne sletter derfor al grundlag for brugen af cookie walls som en compliant måde at indsamle samtykke på, da et tvunget samtykke ikke er frit givet (læs: gyldigt).

EDPBs retningslinjer skriver klart og tydeligt, at tvang til at give samtykke til ikke-nødvendig persondataindsamling står i vejen for det frie samtykke.

Læs mere om cookie walls her

Granuleret samtykke 

De fleste hjemmesider har mange forskellige cookies i drift, som samler forskellige data til forskellige formål og forskellige udbydere.  

Hvis din hjemmeside behandler persondata til mere end et formål, skal brugerne frit kunne vælge hvilke formål, de vil give tilladelse til deres data bliver indsamlet til, og ikke bare et sammensat bundt af behandlingsformål. Det gøres også klart i EDPBs retningslinjer. 

Det betyder, at du skal kende alle din hjemmesides cookies samt deres forskellige formål og give dine brugere mulighed for at tilvælge aktiveringen af nogle cookies frem for andre – det kaldes også granuleret samtykke.  

Cookiebot CMPs granuleret samtykke i fuld compliance med EDPBs retningslinjer 05/2020. 

Specifikt samtykke

Ifølge EDPB-retningslinjerne skal gyldigt samtykke være specifikt, dvs. en klar bestemmelse af et specifikt, eksplicit og legitimt formål med den påtænkte behandling af personoplysningerne.  

For at følge GDPR-kravene for et specifikt samtykke, skal din hjemmeside sikre –  

  1. Formålsspecificering som en beskyttelse mod funktionsskred (dvs. at persondata bliver brugt til flere formål uden brugerne har givet et specifikt samtykke til hvert formål) 
  2. Granularitet i anmodningerne om samtykke  
  3. Klar adskillelse af oplysninger om indhentning af samtykke til databehandlingsaktiviteter og oplysninger om andre emner. 

Informeret samtykke

EDPB-retningslinjerne gør det klart, at gyldigt samtykke skal være informeret, dvs. brugerne skal vide og forstå, hvad de giver samtykke til.  

Du skal informere om følgende, for at din hjemmeside kan leve op til minimumskravene for et informeret samtykke –  

  1. Dig og din hjemmesides identitet 
  2. Formålet for hver enkelt behandling, du spørger om samtykke til på din side
  3. Hvilken type data, der vil blive indsamlet og brugt på din hjemmeside 
  4. At brugeren har retten til at trække deres samtykke tilbage 
  5. Information om brugen af data til automatisk beslutningstagning 
  6. Den mulige risiko for dataoverførsel grundet fraværet af en tilstrækkelighedsafgørelse og passende sikkerhedsforanstaltninger som beskrevet i Artikel 46.

Den information, du giver dine brugere, skal skrives i et klart og forståeligt sprog, for at det let kan læses af en almindelig person (og ikke bare advokater). 

Cookiebot CMPs cookiebanner med en klar og letlæselig tekst i compliance med EDPBs retningslinjer for informeret samtykke.  

Tilbagetrækning af samtykke 

Hvis din hjemmeside afhænger af samtykke til behandling af persondata gennem brugen af cookies og sporingsenheder, skal du være forberedt på at respektere brugernes valg om at trække deres samtykke tilbage. Det er et af kravene i GDPR.  

Brugerne skal have mulighed for at trække deres samtykke tilbage lige så let, som de gav det. Det er faktisk en af betingelserne for gyldigheden af samtykket, at brugerne har lige så let ved at give samtykket, som de har ved at trække det tilbage bagefter.  

Brugere skal have mulighed for at trække deres samtykke tilbage helt frit og uden konsekvenser, såsom at få frataget deres adgang til hjemmesiden eller opleve et lavere udbud af tjenester på siden.  

Al behandling af persondata skal finde sted efter brugeren har givet deres samtykke, og før de trækker det tilbage, før samtykket er lovligt.  

Yderligere betingelser for indsamling af gyldigt samtykke 

Byrden om at bevise den lovlige behandling af brugernes persondata med deres samtykke er hjemmesideejerens og/eller -operatørens.  

Det betyder, at du skal kunne vise, at brugeren har givet samtykke til din hjemmesides cookies og sporingsenheder. Dokumentationen af samtykket skal opbevares sikkert.  

Databeskyttelsesrådet anbefaler, at den bedste praksis er at forny samtykket i passende intervaller.

Den registreredes rettigheder 

Til sidst, husk at dine brugeres rettigheder er sikret i GDPR, og at du altid skal respektere disse for at være i compliance.

Rettighederne er –  

  • Retten til at få slettet alt indsamlet og gemt persondata, når samtykket er trukket tilbage 
  • Retten til begrænsning 
  • Retten til berigtigelse 
  • Retten til adgang 
  • Ret til dataportabilitet 

Cookiebot CMP og GDPR-compliance

Cookiebots consent management platform (CMP) tager sig af alle de krav din hjemmeside skal møde for at være i compliance med GDPR. 

Cookiebot CMP by Usercentrics –

  • Skanner og finder alle cookies og sporingsteknologier på din side, selv de skjulte cookies
  • Blokerer automatisk alle cookies, indtil brugeren har givet deres specifikke, granulerede samtykke 
  • Dokumenterer og lagrer sikkert hvert indsamlet samtykke 
  • Fornyer automatisk samtykket. 

Lær mere om GDPR-compliance

Se Cookiebot CMP by Usercentrics’ funktioner

Se Cookiebot CMP by Usercentrics’ priser

Tag Cookiebot CMPs gratis compliance-test 

Prøv Cookiebot CMP by Usercentrics gratis i dag 

Ofte stillede spørgsmål 

Hvad er EDPB?

Det Europæiske Databeskyttelsesråd (EDPB) er den højeste tilsynsmyndighed i EU, med ansvaret for anvendelsen og håndhævelsen af Databeskyttelsesforordningen (GDPR). EDPB består af repræsentanter fra hvert EU-lands databeskyttelesmyndighed. Rådets hovedfunktion er at vedtage generelle retningslinjer og tage beslutninger vedrørende GDPRs fortolkning og håndhævelse.

Prøv Cookiebot CMP by Usercentrics gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside

Hvad står der i EDPBs retningslinjer?

EDPBs retningslinjer for gyldigt samtykke fra maj 2020, gør det tydeligt hvad anses som gyldigt samtykke, når en hjemmeside er afhængig af brugersamtykke for at behandle persondata, f.eks. gennem brug af cookies og sporingsenheder på en side. EDPBs retningslinjer bestemmer at brugen af cookie walls (tvunget samtykke) er ulovlig og specificerer yderligere hvad hjemmesider skal gøre for at opnå gyldigt samtykke til behandling af persondata.

Test din hjemmesides compliance med den gratis Cookiebot CMP GDPR-compliance test 

Hvad er gyldigt samtykke ifølge EDPB?

EDPB-retningslinjer 05/2020 tydeliggør at et gyldigt samtykke er en frit given, informeret, specifik og utvetydig indikation af brugerens ønsker. Det betyder, at din hjemmeside skal give brugerne et reelt valg af samtykke til alle de forskellige cookies og sporingsenheder, der findes på din side, før disse bliver aktiverede og begynder at behandle deres data. Scrolling og fortsat browsing på hjemmesiden er ikke en gyldig form for samtykke, og cookiebannere må ikke have forud-afkrydsede felter.

Lær mere om GDPR-compliance med Cookiebot CMP by Usercentrics 

Hvordan bliver min hjemmeside GDPR-compliant?

Først skal du kende alle cookies og sporingsenheder, der er til stede på din hjemmeside, så du kan informere dine brugere om cookiekategorierne, deres formål, varighed og udbyder. Derefter skal du blokere alle cookies (undtagen nødvendige cookies) indtil brugerne har givet deres klare og bekræftende samtykke til de af dem, de vil have aktiveret. Som det tredje skal du dokumentere alle samtykker sikkert og forny dem årligt. Til sidst skal du gøre det nemt for brugeren at trække deres samtykke tilbage. Det skal være lige så let som det var for dem at give samtykket.

Læs mere om GDPR og cookiesamtykke 

Kilder

Det Europæiske Databeskyttelsesråd (EDPB)

EDPBs retningslinjer 05/2020 for gyldigt samtykke

Hvad er GDPR?

GDPR og cookiesamtykke

Beyond the Front Page, en undersøgelse fra 2020 om cookies og sporing på hjemmesider (engelsk)

    Hold dig informeret

    Bliv en del af vores voksende community af databesky­ttelses­entusiaster nu. Tilmeld dig Cookiebot™-nyhedsbrevet for at få alle de seneste opdateringer direkte i din indbakke.

    Ved at klikke på "Abonner" bekræfter jeg, at jeg ønsker at abonnere på Cookiebot™-nyhedsbrevet. Jeg kan nemt opsige mit abonnement på Cookiebot™-nyhedsbrevet og tilbagekalde mit samtykke til at bruge mine data ved at klikke på afmeldingslinket. Alternativt kan jeg skrive til [email protected] for at fremsætte anmodningen. Privatlivspolitik.